Security Command Center には、スタンダード、プレミアム、エンタープライズの 3 つのサービスティアがあります。各ティアによって、Security Command Center で使用できる機能とサービスが決まります。各サービス ティアの簡単な説明は次のとおりです。
- スタンダード。 Google Cloud のみの基本的なセキュリティ ポスチャー管理。スタンダード ティアは、プロジェクト レベルまたは組織レベルで有効にできます。セキュリティ要件が最小限のGoogle Cloud 環境に最適です。
- プレミアム。スタンダードのすべての機能に加え、セキュリティ ポスチャー管理、攻撃パス、脅威の検出、コンプライアンス モニタリングを Google Cloud のみで行えます。プレミアム ティアは、プロジェクト レベルまたは組織レベルで有効にできます。従量課金制の請求が必要なGoogle Cloud ユーザーに最適です。
- エンタープライズ。完全なマルチクラウド CNAPP セキュリティ、自動化されたケース管理、修復ハンドブック。プレミアムに含まれるほとんどのサービスが含まれます。エンタープライズ ティアは組織レベルでのみ有効にできます。 Google Cloud、AWS、Azure の保護に最適です。
スタンダード ティアは追加料金なしで提供されますが、プレミアム ティアとエンタープライズ ティアは料金体系が異なります。詳細については、Security Command Center の料金をご覧ください。
各ティアに含まれるサービスのリストについては、サービスティアの比較をご覧ください。
Security Command Center Enterprise
Security Command Center エンタープライズ ティアには、スタンダード ティアやプレミアム ティアと比較して追加機能が用意されています。たとえば、Google Security Operations の機能の選択や、他のクラウド プロバイダからのデータの取り込みなどです。これらの機能により、Security Command Center は完全なクラウドネイティブ アプリケーション保護プラットフォーム(CNAPP)になります。これらの機能は、Security Operations コンソールで使用できます。
Google Security Operations の機能の上限
Security Command Center エンタープライズ ティアの Google Security Operations 機能には、Google Security Operations プランとは異なる上限があります。これらの上限を次の表に示します。
| 機能 | 上限 |
|---|---|
| 高度な脅威インテリジェンス | アクセス権なし |
| キュレーテッド検出 | Google Cloud や AWS などの クラウド脅威の検出に限定 |
| カスタムルール | 20 個のカスタム単一イベントルール(マルチイベント ルールはサポートされていません) |
| データの保持 | 3 か月 |
| Google Security Operations 向け Gemini | 自然言語検索とケース調査の概要に限定 |
| Google SecOps セキュリティ情報およびイベント管理(SIEM) | Cloud ログのみ |
| Google SecOps セキュリティ オーケストレーション、自動化、レスポンス(SOAR) | クラウド レスポンスの統合のみ |
| ログの取り込み |
次のようなクラウド脅威検出に関連するログに限定されます。
|
| リスク分析 | アクセス権なし |
サービスティアの比較
| サービス | サービスティア | ||
|---|---|---|---|
| スタンダード | プレミアム | エンタープライズ | |
|
脆弱性検出 |
|||
| Security Health Analytics | |||
|
Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できる Google Cloud のマネージド脆弱性評価スキャン。 |
|||
| コンプライアンス モニタリング。Security Health Analytics の検出機能は、NIST、HIPAA、PCI-DSS、CIS などの一般的なセキュリティ ベンチマークのコントロールにマッピングされます。 | |||
| カスタム モジュールのサポート。独自の Security Health Analytics カスタム検出機能を作成します。 | |||
| Web Security Scanner | |||
| カスタム スキャン。公開 URL と IP アドレスがあり、ファイアウォールの背後にないデプロイされた Compute Engine、Google Kubernetes Engine、または App Engine ウェブ アプリケーションでカスタム スキャンをスケジュールして実行します。 | |||
| OWASP トップ 10 のその他の検出機能 | |||
| マネージド スキャン。脆弱性に対して一般公開のウェブ エンドポイントを週に 1 回スキャンします。スキャンは Security Command Center によって構成および管理されます。 | |||
| 仮想レッドチーム | |||
| 攻撃パス シミュレーションを実行する仮想レッドチームは、潜在的な攻撃者が高価値リソースに到達するための経路を特定することで、脆弱性や構成ミスの検出結果を特定、優先順位付けするのに役立ちます。 | 2 | ||
| Mandiant の CVE 評価 | |||
| CVE の評価は、悪用可能性と潜在的な影響によってグループ化されます。検出結果は CVE ID でクエリできます。 | |||
| その他の脆弱性サービス | |||
| 異常検出1。プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩された認証情報や暗号通貨マイニングなど)を特定します。 | 2 | 2 | |
| GKE セキュリティ ポスチャー ダッシュボードの検出結果(プレビュー)。Kubernetes ワークロードのセキュリティ構成ミス、対処可能なセキュリティに関する公開情報、コンテナ オペレーティング システムまたは言語パッケージの脆弱性に関する検出結果を表示します。 | |||
| Sensitive Data Protection 1 の検出。機密データを検出して分類し、保護するのに役立ちます。 | 3 | 3 | |
| VM Manager の1 の脆弱性レポート(プレビュー)。VM Manager を有効にすると、VM Manager は脆弱性レポートの検出結果を Security Command Center に自動的に書き込みます。 | 2 | ||
|
次の組み込みサービスと統合サービスにより、クラウド環境全体でソフトウェアの脆弱性とコンテナの検出を強化します。
|
|||
|
Mandiant Attack Surface Management。悪用される可能性のある露出に対して外部エコシステムを継続的にモニタリングし、環境全体でインターネット アセットを検出して分析します。 |
|||
| 有害な組み合わせ(プレビュー)。 セキュリティ上の問題のグループを検出します。特定のパターンで一緒に発生すると、攻撃意思のある攻撃者がそれらのリソースにアクセスして侵害する可能性がある価値の高いリソースへのパスが作成されます。 | |||
|
脅威の検出と対応 |
|||
| Google Cloud Armor1。分散型サービス拒否(DDoS)攻撃、クロスサイト スクリプティング(XSS)、SQL インジェクション(SQLi)などの脅威から Google Cloud デプロイを保護します。 | 2 | 2 | |
| Sensitive Actions Service。 Google Cloud の組織、フォルダ、プロジェクトで悪意のある行為者によって行われ、ビジネスに被害を及ぼす可能性のあるアクションを検出します。 | |||
|
Container Threat Detection。コンテナ ランタイム攻撃を検出します。 |
|||
| Event Threat Detection。脅威インテリジェンス、ML、その他の高度な方法で Cloud Logging と Google Workspace をモニタリングし、マルウェア、暗号通貨のマイニング、データの引き出しなどの脅威を検出します。 | |||
| Virtual Machine Threat Detection。VM インスタンスで実行され、悪質な可能性のあるアプリケーションを検出します。 | |||
| Google SecOps セキュリティ情報およびイベント管理(SIEM)。複数のクラウド環境の脅威のログやその他のデータをスキャンし、脅威検出ルールを定義して、蓄積されたデータを検索します。 | |||
| Google SecOps セキュリティ オーケストレーション、自動化、レスポンス(SOAR)。ケースの管理、レスポンス ワークフローの定義、レスポンス データの検索を行います。 | |||
| Mandiant Hunt。Mandiant のエキスパートに頼って脅威探索を継続的に実施し、攻撃者の活動を明らかにすることで、ビジネスへの影響を軽減します。 | 3 | ||
|
姿勢とポリシー |
|||
| Binary Authorization1。コンテナベースのアプリケーションを開発してデプロイするときに、ソフトウェア サプライ チェーンのセキュリティ対策を実装します。コンテナ イメージのデプロイをモニタリングして制限します。 | 2 | 2 | |
| Policy Controller1。Kubernetes クラスタにプログラム可能なポリシーを適用し、利用できます。 | 2 | 2 | |
| Risk Manager1。組織の技術上のリスク体制をプロファイリングしてレポートを生成します。 | 2 | 2 | |
|
Policy Intelligence。Security Command Center のプレミアムとエンタープライズ ユーザー向けの追加機能(以下を含む)。
|
|||
| セキュリティ ポスチャー。セキュリティ ポスチャーを定義してデプロイし、 Google Cloud リソースのセキュリティ ステータスをモニタリングします。ポスチャ―のずれやポスチャ―の不正な変更に対処します。エンタープライズ ティアでは、 AWS 環境をモニタリングすることもできます。 | 2 | ||
| クラウド インフラストラクチャ権限管理(CIEM)。構成が誤っているプリンシパル アカウント(ID)や、クラウド リソースに対する過剰または機密性の高い IAM 権限が付与されているプリンシパル アカウントを特定します。 | |||
|
データ マネジメント |
|||
| データ所在地 | |||
| データ所在地の制御。Security Command Center の検出結果、ミュートルール、継続的なエクスポート、BigQuery エクスポートの保存と処理が、Security Command Center がサポートするデータ所在地マルチリージョンのいずれかに制限されます。 | 2 | 2 | |
| 検出結果のエクスポート | |||
| BigQuery エクスポート | |||
| Pub/Sub の継続的エクスポート | |||
|
その他の機能 |
|||
|
Infrastructure as Code(IaC)の検証。組織のポリシーと Security Health Analytics の検出機能と照らし合わせて検証します。 |
2 | ||
|
Assured Open Source Software。Google が安全性を確認したうえで使用しているのと同じ OSS パッケージを自社のデベロッパー ワークフローに取り入れることで、Google がオープンソース ソフトウェアに適用しているセキュリティと経験を活用できます。 |
|||
|
監査マネージャー。複数のコンプライアンス フレームワークから選択したコントロールに基づいてリソースを評価するコンプライアンス監査ソリューション。 Security Command Center Enterprise ユーザーは、Audit Manager のプレミアム ティアに追加料金なしでアクセスできます。 |
|||
|
マルチクラウド サポートSecurity Command Center を他のクラウド プロバイダに接続して、脅威、脆弱性、構成ミスを検出します。外部クラウドの高価値リソースに対する攻撃の発生可能性スコアと攻撃パスを評価します。 サポートされているクラウド プロバイダ: AWS、Azure。 |
|||
- これは、組織レベルで有効にした Security Command Center と統合され、検出結果を提供する Google Cloud サービスです。このサービスの 1 つ以上の機能は、Security Command Center とは別に料金が設定される場合があります。
- スタンダード ティアとプレミアム ティアの組織レベルでの有効化が必要です。
- デフォルトでは有効になっていません。詳細と料金については、営業担当者または Google Cloud パートナーにお問い合わせください。